Windows Server 2008主域控迁移

实测Windows 2003域控迁移到Windows 2008域控Taylen 2010.5一、 前期背景：1.现有邮件服务器域控都为Windows 2003系统。

为方便将Exchange2007升级到Exchange2010，需要将Windows 2003域控升级为2008 。

二、 前期硬件、系统准备：1.一台原有域控服务器，系统为Windows 2003 。

2.另外一台需要预装Windows 2008系统。

三、 配置Windows Server 2008 域控兼容环境：1.首先将Windows 2008 系统加入Windows 2003 域控的域中。

这里为测试的，暂为 。

加入以后重启2008系统。

2.重启后用shdc\administrator登录2008系统。

在测试进行之前，我们来查看一下，现有的FSMO角色情况。

（运行CMD，输入netdom query fsmo），显示结果所有的角色都在2003的域控shdc-1中。

3.在升级域控到Windows Server 2008之前，必须进行相关的扩展，这一点，与从Windows Server 2000域升级到Windows Server 2003域一样。

在这里我们必须在原Windows Server 2003 域控制器上运行Windows Server 2008的ADPREP工具，该工具位于Windows Server 2008光盘中的Source\adprep目录下，请复制adprep 目录到Windows Server 2003域控制上的任意磁盘分区中（计算机名为:shdc-1），本案例将此文件夹复制到SHDC-1的磁盘分区C。

特别说明，敬请留意：原Windows Server 2000域升级到Windows Server 2003域，只需对Forest和Domian进行扩展，但在Windows Server 2003域升级到Windows Server 2008域中，还必须对RODC 进行扩展，以便Windows Server 2008能在基于Windows Server 2003的域中担任域控制器类型角色4.下面操作在shdc-1（域控制器）上进行操作。

Windows域迁移方法1:新DC安装系统，配置IP DNS指向老DC (新DC可以加入现有域,也可以不加)2:提升新DC为辅助域控制器后重启3:重启完成后，安装DNS服务.然后等老DC的DNS信息同步到新DC的DNS上)4:将新DC设置为GC,然后等新/旧DC同步,这要看你的网络环境了.5:同步完成之后,就可以传送FSMO角色这是最重要的一步.(用ntdsutil来把旧DC上的FSMO五种角色转移到新DC 上,转移用到命令transfer )整个过程见下方.6:老DC降级 重启 然后退域。

关机7:新DC改IP,把自己的IP地址改为DNS地址(做这一步就是为了让客户感觉不到更换了服务器,也省了到下面去改DNS 地址)8:清理DNS记录,把以前所有旧DC的信息全部删除掉.A:然后利用ntdsutil命令删除掉所有旧DC的信息,B:用adsiedit.msc删除没有用的信息.C:进入活动目录站点与服务删除相应的站点和服务.D:在主域控器的dsa.msc的domain controller里删除没有用的旧DC9:旧DC拔掉网线,重装系统.10:到此基本就完成了.AD的五种操作主机的作用及转移方法Active Directory 定义了五种操作主机角色（又称FSMO）：1.架构主机 schema master2..域命名主机domain naming master3.相对标识号 (RID) 主机 RID master4.主域控制器模拟器 (PDCE)5.基础结构主机 infrastructure master转移办法:转移RID\PDC\结构主机:Windows 界面:1. 打开 Active Directory 用户和计算机。

2. 在控制台树中，右键单击“Active Directory 用户和计算机”，然后单击“连接到域控制器”。

3. 在“输入另一个域控制器的名称”中，键入要担任主机角色的域控制器的名称。

域迁移方案一、事前准备：先分别建立两个位于不同林的域，内建Server若干，结构如下：ADC02 172.16.1.2/24EXS01 172.16.1.101/24ADC01172.16.1.1/24其中：：ADC01作为主域控制器，操作系统为Windows Server 2008 R2，并安装有DHCP服务，作用域范围为172.16.1.100/24——172.16.1.200/24。

ADC02作为的辅助域控制器，操作系统为Windows Server 2008 R2Exs01为的Mail服务器，操作系统为Windows Server 2003 SP2，Exchange 版本为2003TMG01为防火墙，加入到网域，操作系统为Windows Server 2008R2，Forefront TMG为2010Client为加入到此网域的客户端PC，由DHCP Server分配IP：Ad-cntse为的域控制器，操作系统为Windows Server 2008 R2，为了网域的迁移安装有ADMT以及SQL Server Express 2005 SP2Exs-centse作为的Mail Server，操作系统为Windows Server 2003 SP2，Exchange 版本为2003.备注：所有的Server均处在同一个网段172.16.1.x/24二、的User结构：如图，其中红色圈中部分为自建组别，OA User为普通办公人员组别，拥有Mail账号，admins为管理员群组， Terminal User为终端机用户组别，均没有Mail账号。

以上三组别均建立有相应的GPO限制其权限。

其他Users保持默认设定三、设定域信任关系：1、设定DNS转发器：在域控制器Ad-cntse的DNS管理器设定把的解析交给的DNS，同理，把域控制器ads01的DNS管理器把 的解析交给的DNS。

如下图：2、在“Active Directory 网域及信任”中设定双方网域的信任关系：四、利用ADMT工具把中没有Mail账号的User和组都迁移到域，步骤如下图：选择域和域控制器选择用户选择选项选择User选择OU密码迁移选项User转换选项迁移User的相关设定排除User对象选择如发生冲突应该怎样处理项至此，没有Mail账号的User迁移完毕。

Windows Server 2008主域控迁移手顺1.安装windows server 2008 R2虚拟机，名称不能为主域控服务器名称2.主域控、辅助域控的备份：使用Windows Server Backup进行备份，并将备份文件放置在本地。

3.将主域控角色迁移到辅助域控服务器：例：A001 主域控服务、A002为辅助域控登陆辅助域控，打开“运行”，输入”regsvr32 schmmgmt.dll”。

确定运行成功，出现下记提示：3.1打开“运行”，输入”mmc”,分别添加Active Directory 架构、Active Directory 域和信任关系、Active Directory 用户和计算机到控制台，如下图所示：3.2右键单击键Active Directory 架构，选择”更改Active Directory 架构”。

出现下记提示，点击确认：3.3右键单击Active Directory 架构，选择“操作主机”点击更改，点击确定后如下图所示：If error display “不能连接FSMO盒” ,有可能为网卡为TEAM或网卡、网络等问题 !!3.4右键Active Directory 域和信任关系，选择“更改Active Directory 域控制器”。

选择辅助域控服务器,确定3.5右键Active Directory 域和信任关系，选择“操作主机”点击更改，确定后关闭3.6右键Active Directory 用户和计算机-所有任务-操作主机3.7分别在RID、PDC、基础结构选项卡下，点击更改4.客户端运行中输入：netdom query fsmo ，确认操作主机名称为辅助域控服务器5.关闭主域控服务器, 在辅助域控服务器上新建用户，新加域计算机，更改密码进行测试6.打开Active Directory 站点和服务，删除主域控服务器删除DNS信息7.修改虚拟机名称为主域控服务器,并加入域8.打开服务器管理器，安装Active Directory 域服务9.完成后打开运行，输入”dcpromo”安装辅助域控下一步，选择“向现有域添加域控制器”出现下记警告，选择“是”继续选择DNS服务器及全局编录点击“是”继续选择“通过网络从现有域控制器复制数据”选择源服务器-辅助域控服务器根据情况存放下记文件路径：设定目录还原密码：等待安装：安装完成后重启10.重复运行4、5将操作主机修改为主域控服务器11.将客户端退域、加域、新增用户、更改密码进行测试12.没有意外，所有操作完成。

windows server2003 域控迁移到windows server 2008R2实验环境:windowsserver 2003sp2EnterpriseFQDN:IP:192.168.67.50Mask:255.255.255.0DNS: 192.168.67.50192.168.67.60windows server 2008 R2 EnterpriseFQDN:IP: 192.168.67.60Mask:255.255.255.0DNS: 192.168.67.50 192.168.67.60统一密码：symantec一、将windows 2008系统的计算机加入到域中二、在主DC 上提升域功能级别、林功能级别、扩展林、域、组策略等1、在主域AD 用户和计算机上，右键，选择提升域功能级别到windows 20032、将windows 2008 的安装光盘放入主DC 的光驱，打开运行，进入sources/adprep(有的是在support/adprep中，分别输入 adprep.exe/forestprepadprep.exe /rodcprepadprep.exe /domainprep/gpprep扩展林、域和组策略，3、特别注意的是：如果2003系统是32位的，那么，adprep 这个程序也要选择32的，即使用 adprep32.exe来进行操作，否则，系统会提示错误，错误信息为：“adprep 程序可用，但是不适合本计算机”！！三、提升2008为域控制器1、在运行中输入 dcpromo2、选择高级模式3、选择：在现有域中添加域控制器然后基本按照提示，默认的下一步就可以了4、在2008R2上使用命令“netdom query fsmo ”查看当前域中的五种主机角色，当前5种角色均在旧的域控制器上四、转移fmso 五个角色1、运行 ntdsutil工具，输入 roles回车2、输入connections 回车3、输入connect to server 2008计算机名，回车4、在server connections 处输入 Q，然后回车5、首先，转移结构主机Transfer infrastructure master，选择“是”6、转移命名主机Transfer naming master，选择“是”7、转移PDC 主机Transfer PDC 选择“是”8、转移RID 主机Transfer RID master 选择“是”9、转移架构主机Transfer schema master 选择“是”五、卸载原DC使用ntdsutil 命令，详细步骤见“移除文档”。

Windows 2008 R2集群服务和SQLServer 2008 R2集群服务部署大体步骤：1.建立域控制器，配置好域控及两台成员服务器的网卡参数和DNS指向，修改各服务器的主机名。

成员服务器需要加入到域。

（成员服务器上设置IP时只选择IPv4,去掉IPv6的选项。

心跳网卡可以不设置dns，在成员和域控制器上要在网卡的高级属性中的wins选项中禁用NETBIOS。

）2.在域控制器dc上添加对私网地址网段的反向DNS解析。

（若成员服务器加入到域后没有对应的DNS记录可以尝试重启缺少记录的对应服务器）3.安装角色和功能时要确定安装“I/O多路径”“故障转移群集”应用服务器里的“传入、传出服务”“分布式协调器DTC”。

4.创建群集后在群集所在的节点上安装sql的故障转移群集，在备机上向sql server故障转移群集添加新的节点。

一、环境已部署好域环境如下图。

域控制器一台，安装有Windows Server 2008 R2,已加入域，IP地址为节点计算机两台：wloonga和wloongb，安装有Windows Server 2008 R2，已加入到域。

IP地址分别和（需要先做好域并在域上建立一个sql server2008R2专用的组，并将sql用户加入domain admin组和群集服务器的本地管理员组。

）两台群集服务器在通过iscsi连接存储磁盘后在磁盘管理中设置相同的磁盘盘符如下已划分存储：二、在两台节点计算机wloong1和wloong2上添加多路径I/O功能在wloong1上过程如下：1、点击开始- 管理工具- 服务管理器- 功能- 添加功能2、选择“多路径I/O”3、点击安装，等待安装成功。

三、对三块磁盘进行磁盘管理在wloong1服务器上管理磁盘，盘符分别为Q、Z、M，wloong2 服务器只需对磁盘进行联机就可以。

注意盘符的划分，不能与服务器现有的盘符相同。

Z仲裁盘M安装msdtcD安装SQL故障转移集群相关1、点击开始- 计算机- 管理- 存储- 磁盘管理，右击磁盘选择联机。

Windows server 2003 升级至windows server 2008 R2运行环境：Windows Server 2003 是原有的域控制器，域名为 ，此域环境下运行Exchange 2010。

现要将原有2003域控升级至2008R2，保证Exchange2010正常运行。

步骤如下：1.新建一个windows 2008 R2系统，将其加入原有的2003的域中。

图12.在2008R2上使用命令“netdom query fsmo”查看当前域中的五种主机角色，如图2所示，当前5种角色均在旧的域控制器上（要注意的是本命令需要安装windows 的Support Tools）图23.更新Active Directory架构，该更新需要在架构主机上进行操作，同事进行的操作的用户需要是 Enterprise Admins、Schema Admin 和 Domain Admin组的成员。

1)更新林架构在原有的2003域控制器上插入2008R2系统光盘，打开\support\adprep目录下，运行adprep /forestprep, 在警告窗口中键入C，确认所有的版本正确后，然后回车开始进行更新林架构。

在cmd下进入\support\adprep目录（“cd..”返回上一级目录），然后运行命令adprep32.exe /forestprep。

（adprep.exe是64位2003 Server使用）如下图3所示。

图3按照提示：现有环境中所有的域控制器都满足版本的要求，按C然后按Enter键。

直至林架构扩展成功。

图4图52)如果需要部署RODC，需要事先扩展RODC，同一目录下使用命令adprep32.exe /rodcprep，如图6所示。

图63)更新域架构同样在\support\adprep目录下，运行adprep /Domainprep /gpprep 进行域架构的更新。

如图7所示。

图7经过以上几步扩展forest（林）、rodc（只读域控）、domain（域）、gp（组策略）后，就完成了将win2008r2提升为新域控的准备工作。

Windows 2008 R2集群服务和SQLServer 2008 R2集群服务部署大体步骤：1.建立域控制器，配置好域控及两台成员服务器的网卡参数和DNS指向，修改各服务器的主机名。

成员服务器需要加入到域。

（成员服务器上设置IP时只选择IPv4,去掉IPv6的选项。

心跳网卡可以不设置dns，在成员和域控制器上要在网卡的高级属性中的wins选项中禁用NETBIOS。

）2.在域控制器dc上添加对私网地址网段的反向DNS解析。

（若成员服务器加入到域后没有对应的DNS记录可以尝试重启缺少记录的对应服务器）3.安装角色和功能时要确定安装“I/O多路径”“故障转移群集”应用服务器里的“传入、传出服务”“分布式协调器DTC”。

4.创建群集后在群集所在的节点上安装sql的故障转移群集，在备机上向sql server故障转移群集添加新的节点。

一、环境已部署好域环境如下图。

域控制器一台，安装有Windows Server 2008 R2,已加入域，IP地址为 1.1.1.30节点计算机两台：wloonga和wloongb，安装有Windows Server 2008 R2，已加入到域。

IP地址分别 1.1.1.1和1.1.1.2（需要先做好域并在域上建立一个sql server2008R2专用的组，并将sql用户加入domain admin组和群集服务器的本地管理员组。

）两台群集服务器在通过iscsi连接存储磁盘后在磁盘管理中设置相同的磁盘盘符如下已划分存储：二、在两台节点计算机wloong1和wloong2上添加多路径I/O功能在wloong1上过程如下：1、点击开始- 管理工具- 服务管理器- 功能- 添加功能2、选择“多路径I/O”3、点击安装，等待安装成功。

三、对三块磁盘进行磁盘管理在wloong1服务器上管理磁盘，盘符分别为Q、Z、M，wloong2 服务器只需对磁盘进行联机就可以。

注意盘符的划分，不能与服务器现有的盘符相同。

一、加入辅助域控win2008-2 主域控：服务器2008-1，IP：192.168.1.30服务器win2008-2，IP：192.168.1.31，DNS配成win2008-1的IP，先将win2008-2加入域，加入后以域管理员登入win2008-2服务器，运行dcpromo,勾选高级模式安装，选下一步，继续下一步，选现有林--向现有域添加域控制器，下一步，默认已填入域名，设置里填入域管理员账户密码，下一步，默认不变，继续下一步，选是，继续，正在提升域，从父域复制相关的信息，经过几分钟后，提升完成，点击“完成”退出安装向导，重启生效，重启后以域管理员登入win2008-2，查看是否成为辅助域控，打开用户和计算机，看到已有两个域控，右键域名选操作主机，发现主域控是win2008-1,或输入netdom query fsmo,（2003需要安装系统盘Support目录下的support tools工具）五个角色都在win2008-1上，二、当主域控掉线时，辅助域控升级为主域控以域管理员登入主域控win2008-1,在user里建立用户111，win7客户端以用户111登入域，配置“隐藏和禁用桌面所有项目”的组策略，运行中输入gpmc.msc,组策略右键选编辑，用户配置--策略--管理模板--桌面--隐藏和禁用桌面上所有项目，选启用，进入辅助域控2008-2，发现组策略以自动同步，win7注销仍然以用户111登陆，发现组策略已生效，现在将主域控win2008-1关机，发现win7不能跟新组策略，一直停留在下面的界面，再把辅助域控win2008-2的IP改为原主域控的192.168.1.30，发现win7仍不能更新组策略，并报错，在win2008-2中输入netdom query fsmo,发现五个角色还是win2008-1，现在用命令行强制将主机和角色切过来：在命令提示符下输入ntdsutil回车，再输入roles回车，再输入connections回车，再输入connect to server ,提示绑定成功后，输入q推出，如图，输入问号可以看到一些帮助信息，现在用seize来进行强制夺取，分别输入：Seize infrastructure masterSeize naming masterSeize PDCSeize RID masterSeize schema master以上的命令在输入完成一条后都会确认要占用角色，选择是，选择是后，如图会看到报错，这是正常的，因为主域控win2008-1不在线，所以在夺取时会有这个出错信息，接下来的各个角色的夺取也会有这个出错信息，以上命令全部完成后，按q推出，再看下五个角色的所有者已经是win2008-2服务器了，现在win7客户端还不能从win2008-2更新策略,进入站点和服务，删除原win2008-1的NTDS Setting,再进入用户和计算机，删除原域控win2008-1,现在客户端win7已经能从win2008-2更新策略了，三、把修好的win2008-1再恢复成主域控现在把恢复后装完系统的win2008-1重新加入域，重启后先把win2008-1按照之前的步骤升成辅助域控，此时主域控win2008-2,辅助域控win2008-1同时在线状态，如需要将win2008-1恢复成主域控要进行以下操作：将五个角色从win2008-2迁移到win2008-1,进入主域控win2008-2的命令提示符输入：ntdsutil回车，再输入：roles 回车，再输入connections回车，再输入connect to server win2008-1,提示绑定成功后，输入q退出，如图：输入？可以看到提示，然后分别输入：Transfer infrastructure masterTransfer naming masterTransfer PDCTransfer RID masterTransfer schema master以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器，选择”是“，如图：然后接着一条一条完成即可，完成以上按q退出界面，差点win2008-1是否已升级成主域控，在主辅域控命令提示符中都输入：netdom query fsmo,发现五个角色已经都在win2008-1上了，选用户和计算机--域名右键--操作主机，发现主域控已是win2008-1,最后再把两个域控的ip换回来，win2008-1,win2008-2,进入win2008-1的站点和服务--右键辅助域控win2008-2的NTDS Settings--去掉全局编录前面的钩，这时客户端命令提示符输入：gpupdate/force,然后ping ,发现默认域控是win2008-1的ip否则会是win2008-2，。

从Win Server 2008 R2到Win Server 2012的迁移Windows Server 2012是微软最新的Windows Server操作系统，这是比以前的版本功能更强大的Windows Server。

比如，Hyper-V的复制，DHCP 故障转移，动态访问控制，Active Directory回收站的改进，虚拟域控制器等，所以，Windows Server 2008 R2可以更好地迁移到Windows Server 2012域控制器。

1. 同一台物理机器上，建议不直接升级到Windows Server 2012？2. 从Windows Server 2008 R2中特定的域控制器功能迁移到新的Windows Server 2012的Active Directory域环境中需使用新的硬件，这是最好的选择。

3. 在新的硬件迁移到Windows Server 2012的先决条件如下：1. Windows Server 2008 R2中的AD DS域和林功能级别建议最低是Windows Server 2003或更高的。

2. 检查AD DS架构版本。

3. 森林和域必须准备使用ADPREP。

在Windows Server 2008 R2域控制器，运行adprep / forestprep和ADPREP / DOMAINPREP的从Windows Server 2012安装光盘\ SUPPORT \ adprep文件夹的。

步骤1：运行adprep的命令，准备现有森林和域：1 将Windows Server 2012 DVD插入DVD驱动器的Windows Server 2008 R2中的AD DS。

2 打开命令提示符，然后键入以下命令，按回车键。

3。

检查AD DS架构版本。

Adprep后步骤2：促进在Windows Server 2012服务器，域控制器，DNS和全局编录：1，首先加入此服务器上，KTM-DC01-2K12，作为一个成员服务器在现有的视窗服务器2008 R2的域，然后再推广到域控制器。

域迁移方案一、软件环境：1.操作系统：Windows Server 2008 R22.Mail Server软件：Exchange Server 20103.客户端操作系统：Windows XP PRO SP34.客户端邮件软件：Outlook 2003二、域环境：1.建立两个域：以及，域控制器名称分别为以及。

2.在下建立子域，域控制器名称为。

3.各域间建立信任关系。

4.分别在以及域上建立Mail Server，两Server名称分别为以及。

5.在下建立若干User。

6.客户端client加入域三、IP地址分配：:172.16.1.1/24:172.16.1.100/24:172.16.1.101/24:172.16.1.200/24:172.16.1.201/24四、安装Exchange Server 20101、在安装Exchange Server 2010：I.安装.NetFrameWork 3.5II.安装相关补丁III.开始安装Exchange Server 20102、在下安装Exchange Server 2010I.安装.NetFrameWork 3.5II.安装相关补丁III.在根林下执行Setup /PrePareSchema以及setup /preparead /organizationname:”cntse” （注：如果遇到“正在扩展ActiveDirectory 架构失败”的问题，请调整本地连接的DNS设定）IV.返回下，执行Setup /PrepareDomainV.把下的管理员（保证是"Organization Management"角色组或"Enterprise Admins"组的成员）加入到本机的administrators组，使用该管理员执行安装程序。

VI.开始安装Exchange Server 2010五、配置Exchange Server 20101.设定接收连接器、接受的域和发送连接器。

把Windows 2008 R2域服务升级和迁移到Windows Server 2012 R2上• (一)windows Server 2012 R2 中增加了不少功能，在AD角色中就增加了如下新特性：Workplace Join：支持设备在不加入域的情况下，通过第二因子认证和单点登录通过web应用代理访问内部应用:外部设备可以直接通过Web应用代理来访问内部应用和服务，如：ADFS、Applications。

通过规则以决定访问ADFS资源的用户权限，权限有三种：允许所有用户访问、输入凭据访问、拒绝用户访问迁移工作可以有多种方式，常见的就是在不同设备上进行迁移，这样安全可靠。

还有一种是就地升级的迁移，这种方式只限于能直接升级到Windows Server 2012 R2 的系统，升级前做好系统备份工作。

1.新安装一台Windows server 2012 R2服务器，打开添加角色和功能对话框。

2.在安装类型页面点击下一步3.在服务器选择页面，点击下一步4.在服务器角色页面，选择AD域服务角色，点击下一步5.在功能页面，点击下一步7.点击下一步8.勾选“如果需要，自动重新启动服务器”，点击安装9.安装完成后点击“将此服务器升级为域控制器”10.在部署配置页面，选择将域控制器添加到现有域，具体配置如图所示，点击下一步11.输入目录还原密码，然后点击下一步12.点击下一步13.复制自选择主域控制器，然后点击下一步14.在路径页面，点击下一步15.点击下一步16.点击下一步17.先决条件检查通过后，点击安装18.安装完成后，点击关闭19.在AD管理中心中看到，windows server 2012 R2 服务器已经成为域控制器。

（二）将域的五个角色转移到Windows server 2012 R2AD域环境中的五大主机角色在Win Server多主机复制环境中，任何域控制器理论上都可以更改ActiveDirectory中的任何对象。

windows server 2008R2 域控迁移到windows server 2012域控首要做的就是备份AD，这是准备工作中的重点，一旦发生迁移故障中断，可以迅速恢复到原状态，以保证正常的应用。

备份完成后，正式进入迁移的实操，操作系统的版本和网络配置如上图所示。

1、把Windows server 2012加入到win2k8 AD中作为域成员，添加完成以后，打开服务器管理器，添加AD角色。

点击“下一步”，选择基于角色或基于功能的安装选项，选项目标服务器，在Windows server 2012中可以实现对服务器组的管理（这是win2k12的一个亮点哦），我们这里只选择当前的服务器就可以了再接下来的安装界面和Windows server 2008就相似了，此处省略了几个添加功能的步骤，直接上结果界面2、添加AD DS后，接下来配置它，在服务器管理器左侧的仪表板中打开AD DS，在右侧的内容管理器中会AD DS的状态，在右侧的界面的顶端有一个很友好的内容警示提醒，点击警示栏中的“更多”链接，弹出通知窗口，在通知窗口中可以看到当前正在进行配置的任务状态的明细进度点击操作栏中的“将此服务器提升为域控制器”的按钮，此时的“阶段”状态将由“未开始”变成“正在运行”。

3、接下来进入域服务器配置向导，选择“将域控制器添加到现有域”4、当继续点击“下一步”按钮时，弹出副本验证失败的警示，原因就是凭据失败，这是用当前用户（工作组）权限验证，当然是失败的，既然是工作组用户不能验证，当然就需要更改为域用户来验证了，5、通过了验证后，接下来就是域控升级的第一个惊喜，也是最为关键的步骤，警示栏很友好的告诉我们林功能级别不够，接下来升级Windows 2K8 的AD。

在本示例中，我的win 2k8 AD是从Win2k3 AD一路升级过来的，所以会提示林\域功能级别低，倘若AD 初始化安装在Windows 2K8下面，则其域功能级别默认为Windows server 2003，可以直接跳过步骤6-10，进入步骤 11所示。

2008域控制器迁移到2012操作步骤（真实环境操作，非测试）项目原因解析：目前的域控制器操作系统为：Windows server 2008 R2企业版，域功能级别是Win 2008 R2，在强制变更密码策略，下发DNS以及WINS和下发打印和桌面文件共享时发现不能对Windows 10生效，公司大部分系统为win10，所以将域提升到win 2012环境目的：通过在线迁移的方式将2008 R2迁移到windows server 2012 r2 date版，同时需要将DNS，WINS同时迁移，IP 不能改变现有环境解析：现有域控2台，分别为YALIDC(192.168.0.6,)，YALIDC2（192168.0.5），挂载DNS，WINS、WDS服务，新建系统为windows server 2012 R2 ,主机名命名为：DC01，IP是：192.168.1.77，将YALIDC域控制器在线迁移到DC01，将变为域控制器后的DC01的IP地址更改为：192.168.0.6并且能够正常上网，原有的YALIDC降级后删除，注意：因为windows 2012 AD支持的最低林架构为2003，最低域架构为2008，所以在升级之前，先要保证你的林中再没有运行2003以前的DC，域中再没有运行2008以前的DC，并进行林、域级别的提升，才能进行windows 2012AD的部署和升级！操作步骤完成后打开管理中心，发现DC01已是一台域控制器，但是还没完整，这最多就是一台辅助域，还要开始进行五大角色的转移。

在DC01上新建SSS的OU即可立即同步到原来的YALICORP域控制器以上教程就是DC迁移步骤，接下来就开始介绍如何利用ntdsutil.exe 工具迁移五个主机角色1.在windows server 2012 R2 域控制器上，以管理员身份打开Powershell，并且输入ntdsutil.exe2.输入Roles3.输入connection4.输入connect to server DC01（注：新的域控名称）4.输入quit6.输入transfer naming master，迁移命名主机角色，点击是7.输入transfer infrastructure master ，迁移基础架构主机角色，点击是8.输入transfer PDC，迁移PDC主机角色，点击是9.输入transfer RID Master ，迁移RID主机角色，点击是10.输入transfer schema master ，迁移架构主机角色，点击是11.输入Netdom query fsmo,查看角色转移情况迁移成功。

Active Directory域控和额外域控之间的转移和抢占实验流程本文档将模拟ZESING域主控域与额外域控角色之间的和转移和主域控主机因系统或者物理损坏无法开机，额外域控紧急抢占操作主机的实验流程首先先模拟有两台域控，主域控为ZESINGAD01,额外域控为ZESINGAD02。

系统都为Windows server 2008 R2 X64。

如图：打开命令行，输入如下命令来查看：Dsquery server –hasfsmo rid 查看RID主机Dsquery server –hasfsmopdc 查看PDC仿真主机角色Dsquery server –hasfsmoinfr 查看基础结构主机Dsquery server –hasfsmoname 查看域命名主机Dsquery server –hasfsmoschema 查看构架主机通过图中可看到ZESINGAD01为主域控，所有角色都在ZESINGAD01上。

PART I现在演示把主域控ZESINGAD01转移操作主机角色到ZESINEAD02上首先转移RID主机角色打开“Active Directory 用户和计算机”，在目录树窗格中，右键点击“Active Directory 用户和计算机”，点击“更改域控制器”；在“更改目录服务器”对话框中，选中“此域控制器或AD LDS实例”并选择一台即将担任RID主机的域控制器，然后点击“OK”；在目录树中右键单击“Active Directory 用户和计算机”，选择“所有任务”—“操作主机”；在“RID”选项卡中，单击“更改”按钮转移PDC仿真主机角色打开Active Directory 用户和计算机，在目录树窗格中，右键点击“Active Directory 用户和计算”，点击“更改域控制器”；在“更改目录服务器”对话框中，选中“此域控制器或 AD LDS 实例”并选择一台即将担任PDC仿真主机的域控制器，然后点击“OK”；、在目录树中右键单击“Active Directory 用户和计算机”，选择“所有任务”—“操作主机”；在“PDC”选项卡中，单击“更改”按钮转移基础结构主机角色打开Active Directory 用户和计算机，在目录树窗格中，右键点击“Active Directory 用户和计算机”，点击“更改域控制器”；在“更改目录服务器”对话框中，选中“此域控制器或 AD LDS 实例”并选择一台即将担任基础结构主机的域控制器，然后点击“OK”在目录树中右键单击“Active Directory 用户和计算机”，选择“所有任务”—“操作主机”；在“基础结构”选项卡中，单击“更改”按钮转移域命名主机角色打开Active Directory 域和信任关系，在目录树窗格中右键点击“Active Directory 域和信任关系”，点击“更改 Active Directory 域控制器”；在“更改目录服务器”对话框中，选中“此域控制器或 AD LDS 实例”并选择一台即将担任域命名主机的域控制器，然后点击“OK”；在目录树中右键单击“Active Directory 域和信任关系”，点击“操作主机”；单击“更改”按钮转移架构主机角色运行打开MMC控制台添加Active Directory构架在MMC控制台中打开Active Directory Schema，在目录树窗格中右键点击“Active Directory Schema”，点击“更改 Active Directory 域控制器”；在“更改目录服务器”对话框中，选中“此域控制器或 AD LDS 实例”并选择一台即将担任架构主机的域控制器，然后点击“OK”；在目录树窗格中右键点击“Active Directory 架构”，点击“操作主机”单击“更改”按钮经过以上步骤已经完成转移操作主机角色，来验证一下，进入命令行输入，见到所有角色都迁移到ZESINGAD02上PART II抢夺操作主机角色实验假设ZESINGAD02主机已经挂掉，我们需要提升ZESINGAD01为主域控，我们需要如下操作：1、抢夺RID主机角色A．打开命令行，输入：ntdsutilB．在ntdsutil提示符下，输入：rolesC．在fsmo maintenance命令提示符下，输入：connectionD．在server connections命令提示符下，输入：connect to server <DomainController> ，这里的<DomainController>是即将担任RID主机的域控制器名称E．在server connection命令提示符下，输入：quitF．在fsmo maintenance命令提示符下，输入：seize rid master，确认窗口中点击“Yes”；2、抢夺PDC仿真主机角色操作同抢夺RID主机角色，只是更换抢夺命令为seize pdc，如图（由于另一台域控物理故障，林根域只有一台域控制器，所以无法抢夺，下面的错误请忽略，不影响结果）3、抢夺基础结构主机角色操作同抢夺RID主机角色，只是更换抢夺命令为seize naming master，如图4、操作同抢夺RID主机角色，只是更换抢夺命令为seize infrastructure master，如图5 、抢夺架构主机角色操作同抢夺RID主机角色，只是更换抢夺命令为seize schema master，如图打开命令行输入以下命令发现ZESINGAD01已提升为主域控，抢占成功。

Windows Server 2008 R2域故障解决实战到现场后，先了解当前的情况：一个父域是abc.local;两个子域分别是it.abc.local和hr.abc.local。

每个域中有二台DC。

此次出现问题的是it.abc.local域，此域中的两个DC名分别是dc01.it.abc.local和dc02.it.abc.local。

另有两台成员服务器server1.it.abc.local和server2.it.abc.local安装有故障转移群集，上面配置有客户应用。

症状是：1个小时前，群集应用出现故障，无法切换，处于失败状态。

管理员登录到DC上进行排查，发现DC01输入正确的用户名密码无法登录，怀疑是AD数据库出现故障。

也就是说这里看到的是两个故障：群集上的应用故障和域的用户登录故障。

经过分析，判断群集上的应用故障应该是由于域故障而起的，所以还是决定先解决域的用户登录故障。

DC01你怎么了?关于DC02上域管理员账户无法登录的问题，开始怀疑是DC01这台机器上的数据库有问题，解决就是想重新启动验证一下，如果不行就进行AD的恢复还原，实在不行，还有DC02在，可以将DC01降级再升为DC，但这是下下策。

确认思路之后，开始按Power，强制关机。

重新启动后，管理员竟然成功登录进去了，太诡异了。

但随后打开DC02上的AD用户和计算机时发现如下图所示的故障：在DC01上也无法打开AD用户和计算机管理界面，此时判断应该是DNS的问题，两台DC重新启动DNS服务后，故障依旧。

此时采用下面的方法解决：1.将两台机器上的c:\windows\system32\config文件夹中的netlogon.dnb 和netlogon.dns分别改名，如下图所示：在此，我们将二个文件加上bak后缀，然后重新启动DNS服务。

如下图所示：重新启动后，会再次生成新的netlogon.dnb以及netlogon.dns文件，如下图所示：此时，再打开两台DC的AD用户和计算机就可以很顺利的查看相关对象了。

W indows server2008R2实时迁移部署操作文档Windows server2008R2在虚机实时迁移（live virtual machine migration）方面做了很大的改进，在群集故障迁移中增加了CSV功能（Cluster Shared Volumes）及群集共享卷功能。

该功能使群集中的服务器，能够共享存储设备中相同的lun。

多台物理服务器配置故障群集功能，在各物理服务器安装虚拟机，每个物理服务器代表一个节点，各节点中有某一节点出现故障，故障服务器上虚机服务会自动迁移到其他的节点服务器上，而服务不会停，用户不会感觉到服务中断。

图1：R2版本中新增的群集共享卷配置了CSV功能的物理机，会在C盘下映射一个名为ClusterStorage文件夹，状态是锁定状态，该文件夹就是映射的存储的空间，每个文件夹表示一个lun，名字为Volume1、Volume2…..依次类推。

图2：映射到C盘下的lun�虚机实时迁移步骤1.将虚拟机建立在共享存储卷中。

图3：虚拟机新建的位置图4：硬盘存放的位置2.群集的安装与配置�安装集群需要需要注意将”多路径I/O”功能一起安装。

图5：选择群集和多路径I/O功能�安装完群集功能正式开始配置群集，配置前确保存储NAS或者SAN已经成功挂载，各节点的补丁已经更新到最新，网络配置正常，加入域。

然后执行群集验证图6：群集验证配置�一路按默认的选择下一步，如果验证全部通过那么可以安装群集，如果没通过请检查原因。

通过后选择创建一个群集。

图7：创建群集创建群集与验证群集选项差不多，基本选择下一步和选择入群集的服务器。

图8：安装开始点选下一步，选择要加入群集的服务器。

图9：选择服务器点击浏览，查找域中的服务器，将要加入群集的服务器添加到输入框中。

图10：选择域中服务器加入群集为群集起名并设置一个IP地址。

图11：为群集分配IP 群集配置完成图12：图13：创建群集服务图14：创建完成3.服务与应用程序的配置安装完成后添加应用程序和服务，将安装好的虚拟机关闭，然后加入群集再启动。